Un sistema de autenticación que aprovecha los límites de la cognición humana [pdf]
(users.cs.duke.edu)-
Un artículo de Vincent Conitzer, profesor de informática en Carnegie Mellon
-
Normalmente se considera que los límites de la capacidad cognitiva humana son una desventaja, pero aquí se propone el concepto de aprovechar esos límites para usos como prevenir inicios de sesión duplicados o autenticación sin datos biométricos.
-
Algunos ejemplos presentados en el artículo son los siguientes:
1. Un sistema que solo permite pasar la primera vez usando reconocimiento de fotos de rostros. Aprovecha la limitación cognitiva de que los humanos no pueden borrar recuerdos voluntariamente.
- Se muestran decenas de fotos de rostros y se pregunta si es una cara vista "por primera vez en esta prueba"; en la primera prueba es fácil responder correctamente.
- En la segunda prueba se cambian algunas fotos de rostros y se vuelve a hacer la prueba. Como en el cerebro queda el recuerdo de haber visto las fotos en la prueba anterior, se genera confusión y la puntuación sería más baja que en la primera prueba.
- Sin embargo, en el experimento real, a algunas personas les bajó la puntuación, a otras se les mantuvo igual y a otras incluso les subió.
2. Autenticación remota sin usar información biométrica. Autenticación mediante un juego personalizado.
-
Se crea un juego con niveles de dificultad del 1 al 10. Si la dificultad se configura de forma que no se pueda completar el nivel 10 sin haber avanzado gradualmente desde el nivel 1, entonces el hecho de poder completar el nivel 10 se convierte en un indicador para identificar a la persona, lo que permite autenticación sin usar biometrics.
-
Los ejemplos anteriores pueden hackearse con ayuda de notas, amigos o IA, por lo que se necesita un diseño más sofisticado.
8 comentarios
Como extra, hace tiempo entré para verificarme en Rockstar Games, los creadores de GTA, y me encontré con que tenía que resolver 10 preguntas de opción múltiple con 6 opciones cada una, eligiendo la pareja de dados cuya suma daba 13. Estaba seguro de que las había contestado todas bien, pero como no era un sistema que te marcara el fallo a mitad del proceso cuando te equivocabas una vez, terminé fallando 2 veces y en total resolví 30 preguntas. Uf, de verdad fue una tortura.
Antes escuché a alguien hablar de metacognición y decir algo así: cuando te preguntan "¿cuál es la séptima ciudad más grande de Perú?", si respondes o te pones a buscarla, entonces eres un bot o una IA. Una persona sabe en un segundo que no conoce la respuesta. Me acordé de eso.
Lo vi en una de las charlas del profesor Kim Kyung-il. No sé si la idea es originalmente suya o si la estaba citando, pero la menciona en una de sus presentaciones en YouTube.
Antes me pareció interesante un artículo que autenticaba usando la velocidad con la que se ingresa una contraseña.
Por ejemplo, si fuera una contraseña de 10 caracteres en total, se autentica a partir de un patrón de comportamiento según el cual, para una misma persona, los intervalos en los que ciertas letras se escriben rápido y otros en los que se escriben lento son casi siempre muy parecidos.
Me sorprendió lo precisa que resultó ser, más de lo que esperaba.
Me pregunto si un programa CAPTCHA que casi no requiere entrada del usuario no funcionará de una manera parecida.
Oh, la idea de evaluarlo por el patrón de escritura también está interesante.
Los ejemplos presentados en el artículo no son prácticos, pero la idea de considerar los límites de la capacidad cognitiva humana no como una debilidad, sino como una característica propia de los humanos, y aprovechar eso, me pareció interesante, así que hice un resumen.
Como dices, ese cambio de enfoque es impresionante.